Mọi thứ đều nói Applocker phải hoạt động: Tại sao không?

Tôi đã thiết lập một chính sách nhóm cơ bản bao gồm các quy tắc Applocker mặc định. Per của Microsoft TechNet về đề tài này, bất kỳ tập tin không rõ ràng cho phép chạy bởi chính sách này được cho là bị chặn từ chạy. Sau khi triển khai chính sách này và xác minh nó đang được áp dụng cho đúng người dùng bằng cách sử dụng gpresult, tôi vẫn có thể tải xuống và chạy exe từ internet, một exe được lưu vào thư mục tạm thời của hồ sơ người dùng. Đó là lúc tôi làm việc nhiều hơn và thấy rằng dịch vụ Nhận dạng ứng dụng phải được chạy và nó không: Vì vậy, giống như bất kỳ quản trị viên giỏi nào, tôi đã khởi động nó, đặt nó tự động và khởi động lại chỉ trong trường hợp. Chính sách vẫn không hoạt động sau khi khởi động lại. Dưới đây là một ảnh chụp màn hình của chính sách hiện tại.

nhập mô tả hình ảnh ở đây

Tôi đã thêm các quy tắc từ chối một cách rõ ràng vì các quy tắc mặc định không hoạt động. Tôi đã áp dụng chính xác cho máy và xác minh rằng các quy tắc được thi hành (nó nói như vậy trong ảnh chụp màn hình). Tôi đã sử dụng Test-AppLockerPolicylệnh ghép ngắn để xác minh rằng quy tắc nên chặn EXE và MSI chạy, nhưng không được. Mở cho hầu hết các đề xuất, cho dù chúng có vẻ lố bịch như thế nào.

Cập nhật

Quên thêm rằng tôi đã kiểm tra nhật ký sự kiện cho AppLocker trong toàn bộ fiasco này và nó trống. Không phải là một mục duy nhất toàn bộ thời gian.

windows-7 group-policy applocker

— MDMoreore313
nguồn

Xem trong nhật ký sự kiện dưới Applications and Services Logs-> Microsoft-> Windows-> AppLocker. Trong các nhật ký đó, bạn sẽ thấy thông báo được phép / từ chối và "Chính sách AppLocker đã được áp dụng thành công cho máy tính này."

— longneck

Ngoài ra, bạn có thể đặt Chính sách nhóm chứa các quy tắc AppLocker của mình để bắt đầu dịch vụ Nhận dạng ứng dụng.

— longneck

@longneck bạn đúng 100%: Tôi quên thêm rằng tôi đã kiểm tra nhật ký đó và nó trống! Và vâng, cuối cùng nếu tôi thực hiện đúng chính sách này, tôi sẽ thêm dịch vụ đó để bắt đầu tự động thông qua cùng một gpo để thống nhất.

— MDMoore313

Có các quy tắc riêng cho "Quy tắc cài đặt Windows". Tôi không biết điều đó có liên quan đến EXE của bạn không nhưng nó đáng để xem. Nếu bạn thả một bản sao EXE của chương trình đã cài đặt (winword.exe, v.v.) vào một thư mục không được phép trong Quy tắc thực thi của bạn, người dùng có thể thực thi nó không?

— joeqwerty

Người dùng có phải là Quản trị viên địa phương không? Máy có phải là Windows 7 Pro không?

— joeqwerty

Câu trả lời:

Nếu khối đường dẫn của bạn không được xác định chính xác thì điều đó sẽ giải thích cho bạn tình huống.

Ví dụ: nếu bạn sử dụng biến môi trường% userprofile%. Chỉ có một tập hợp con của các biến môi trường có sẵn thông qua GPO / AppLocker và đó không phải là một trong số chúng.

Tôi đã thành công với quy tắc đường dẫn sau:

%osdrive%\users\*

— Fannar Levy
nguồn

Biệt phái ở đây Tôi gặp vấn đề chính xác với việc sử dụng% userprofile% EV khi nó không hoạt động. Nhưng việc chuyển sang% osdrive% \ users * đã làm điều đó.

— Get-HomeByFiveOClock 16/07/2015

Chuyển đổi công việc, vì một số lý do tôi đã không thấy câu trả lời này trước khi tôi rời đi (14 tháng 7), tôi chắc chắn đã thử nó, nó có vẻ như là thủ phạm.

— MDMoore313

Đây là một chủ đề cũ nhưng tôi đã gặp nó khi triển khai AppLocker trên mạng riêng của chúng tôi.

AppLocker yêu cầu sử dụng dịch vụ Nhận dạng ứng dụng, được đặt thành Thủ công trên cài đặt mặc định của Win7 / Server 2008 R2. Bạn phải đặt dịch vụ Nhận dạng ứng dụng thành Tự động khởi động nếu không các quy tắc sẽ không được thực thi. Bạn có thể làm điều này với đối tượng Chính sách nhóm nơi quy tắc AppLocker được xác định.

— Wes Sayeed
nguồn

Sup Wes! Vâng tôi cũng thấy vậy, cài đặt nó thành tự động mà không có kết quả, hy vọng chủ đề này đã giúp bạn

— MDMoore313

Nó đã làm :-) Nó hoạt động tốt với Win7. Win10 là một câu chuyện khác. Thậm chí không thể thay đổi loại khởi động của dịch vụ. Sẽ gửi một câu hỏi khác cho điều đó. Tôi đã xem qua chủ đề của bạn trong khi tìm kiếm trợ giúp cho các ứng dụng w / AppLocker và ClickOnce.

— Wes Sayeed